首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 駭客技術與新興威脅

在資安觀念上、做法上,我們落後香港了

作者:侍家驊 -2016 / 08 / 22 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

上個月我們舉辦的活動中,有位香港來的講者,提到台灣客戶針對弱掃服務有『4不』, 不修復(證明有危害才修復)、不當機(不影響系統穩定性)、不掃描(最好一年掃一次)、不呈報(掃到弱點不向長官會報)。這觸動了我與他深談的念頭,深談之下發現,我們落後太多了,台灣就像5-8年前的香港。

最大差異是接受服務有價
香港為國際港都,算是亞洲金融中心,國際化程度高,許多地方需要國外專家的協助,自然帶動國際收費標準,既使本地公司或人才提供服務,也會比照國際專家的收費標準。在資安的專業領域,自然接受服務有價。

除了專業服務可計價之外,資安設備的採購上,台灣是買完產品後,服務免費,相對於其他大多是設備與服務的採購是分開購買。畢竟,要做好這麼多分析及找出解決問題的辦法,是需要投入較多的人力資源。一家以產品銷售為主的公司,能投入多少時間? 免費很難確保服務品質。

即使是採購設備,香港客戶願意為好的產品多付一點價格。價格太低反而會引起客戶對品質及專業的質疑。香港公司重商譽,相對被駭客入侵後,商譽被影響的損失,資安上花的只是小錢。

態度與機制決定成敗
以銀行為例,即使香港銀行規模普遍較台灣小,但跟銀行開會討論專案項目時,參與會議的人員,規模小的銀行至少也有2到3位參與者,規模較大的還會有5到8位參與者。然而在台灣,不論銀行規模大小,大概就只有1、2位。

在香港,負責資安弱點掃描相關工作的人員,一樣嘴巴會罵罵罵。但罵歸罵,還是會回頭動手做。因為機構內安全目標明確,發現甚麼樣的弱點,多長時間內必須補強完成,規定的清清楚楚。萬一工作太多,不能達標,未必一定是他個人的問題,可以跟主管理性討論,工作太多,人手不夠,要不就加人,要不就找工具幫忙,無論如何該做的就得做好。

自建防禦機制 vs 委外
2014 Heartbleed 發生,香港金融管理局(HKMA)在弱點發報當天,馬上要求銀行兩天內提交報告,報告有哪些受影響的系統。這時平常透過委外服務的銀行,受限服務商的能量,很難每家都能兩天內交出報告。這讓銀行興起自己做安全評估的需求。

有些外商銀行開始考慮利用Cloud Service, 但不同地方對法規的要求是一大疑慮。但無論如何外包也好,利用雲端服務也好,資安的責任還是銀行自己要肩負的,因為有安全事件發生,客戶去找的是銀行自己,不是銀行的服務供應商。

資安服務需要專業證照
2016 年五月,HKMA提出新的安全要求建議書,提出要針對弱點評估服務、風險評估服務、滲透測試(Penetration Test , PT)服務廠商的人員資格正規化,內容包括服務應如何定制訂相關人員的專業資格要求。
在專業資格上,有針對 Assessor (評審員,負責定義服務的範圍)及實際動作的Test (測試員,實際進行評估/PT 的人員)。

1
推薦此文章
14
人推薦此新聞
文章回應話題
台灣網友 發表於: 2020 / 01 / 26
無意間看到這篇文章,根據(ISC)2於2020/1/1公佈的(ISC)2 Member Counts,CISSP證照人數:新加坡2191人,香港1827人,台灣326人。

在台灣,CISSP證照知名度遠不及ISO 27001 LA,而且在政府機關、國營事業,證照對於升遷、加薪並沒有絕對幫助,會去準備CISSP證照的人應該都是從事相關工作或公司有要求必須取得CISSP證照。另外,CISSP考試有相當高的難度,通過人數自然不高。

註:https://www.isc2.org/About/Member-Counts
SAM 發表於: 2017 / 04 / 26
TAIWAN S good in tech compared w HK
PS HKER IN EUROPE
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…